See

discussions, stats, and author profiles for this publication at: http://www.researchgate.net/publication/282329850

Information Security in implementing web

applications for small businesses based on
COBIT5-SI
CONFERENCE PAPER JUNE 2015
DOI: 10.1109/CISTI.2015.7170390

READS

18

3 AUTHORS, INCLUDING:
Danilo Rubn Jaramillo
Universidad Tcnica Particular de Loja
10 PUBLICATIONS 1 CITATION
SEE PROFILE

All in-text references underlined in blue are linked to publications on ResearchGate,

letting you access and read them immediately.

Available from: Danilo Rubn Jaramillo

Retrieved on: 01 December 2015

Seguridad de la Informacin en la
implementacin de aplicaciones web para
pequeas empresas en base a COBIT5-SI
Information Security in implementing web applications
for small businesses based on COBIT5-SI
Danilo Jaramillo H, Franco Guamn B, Kruskaya Salazar E
Departamento de Ciencias de la Computacin y Electrnica
Loja-Ecuador
{djaramillo, foguaman, kssalazar}@utpl.edu.ec
Universidad Tcnica Particular de Loja
Resumo La Seguridad de la Informacin es una de las medidas
preventivas a tomar en consideracin para el adecuado
funcionamiento de aplicaciones en pequeas y medianas
empresas de Ecuador, garantizando de esta forma
la
confiabilidad, disponibilidad e integridad de los activos,
principalmente dentro de sus aplicaciones web. Este trabajo se
fundamenta en la integracin del marco de gobierno para la
seguridad Cobit5-SI, la metodologa de modelado UWE y el
proyecto abierto de seguridad OWASP, obteniendo las prcticas
adecuadas que permitan valorar la Seguridad de la Informacin
en la implementacin de aplicaciones web para estas empresas.
De igual manera la seleccin de estas prcticas se realiz con la
integracin de las normas ISF, ISO/IEC 27001, ISO/IEC 27002,
ITIL y NIST.
Palabras Clave seguridad de la informacin, cobit5,
prcticas,activos, aplicaciones web.
Abstract The Information Security is one of the preventive
measures to take account for the proper functioning of
applications in small and medium enterprises in Ecuador, thus
ensuring reliability, availability and integrity of assets, primarily
within their web applications measures. This work is based on
the integration of the governance framework for Cobit5-SI
safety, UWE modeling methodology and open security OWASP
project, obtaining the best practices for evaluating the
Information Security in implementing web applications these
companies. Similarly, the selection of these practices was
conducted with the integration of the ISF, ISO / IEC 27001, ISO /
IEC 27002, ITIL and NIST.
Keywords -Information security; cobit5; web applications.

I.

INTRODUCCIN

Con la tendencia creciente de amenazas relacionadas a la

informacin relevante que manejan las empresas hoy en da, se
ve la necesidad de garantizar un sistema de informacin que
contenga las prcticas adecuadas para mitigar riesgos de
prdida de informacin dentro de las PYMES, los que podran
generarse de diferentes fuentes como: personas, procesos o
tecnologa [1].

Al referirnos a personas, se puede notar que es un aspecto

menos protegido dentro de la seguridad de la informacin (SI),
y como tal requieren medidas adecuadas para mitigar el riesgo
de prdida de informacin dentro de una empresa en este
contexto. Muchas veces sin embargo, las empresas no
implementan medidas para asegurar el acceso del usuario a los
recursos (privilegios mnimos), un punto destacado por
Ruppert [1]. Por lo tanto, esto puede conducir a una gran
variedad de situaciones, entre ellas, la asignacin de los
usuarios con poco o demasiado acceso a recursos o
procedimientos de terminacin ineficaces para hacer frente a
cuentas de usuario de empleados inactivos.
Es por esta razn que es necesario contar con prcticas que
permitan integrar la seguridad en la implementacin de
sistemas de informacin, ya sean desarrollados internamente o
adquiridos de manera comercial. El presente estudio est
basado en la revisin de normas, metodologas y proyectos que
brindan buenas prcticas orientadas a garantizar la aplicacin
de Seguridad de la Informacin y permitir valorar su nivel de
cumplimiento al momento de implementar aplicaciones web
en pequeas empresas.
II.

MARCO TERICO

A. Gestin del Software en pequeas empresas

Toda pequea empresa requiere contar con un sitio web,
debido al avance de la tecnologa y a la nueva propuesta de
negocio como lo es el comercio electrnico; segn el estudio
en Ekos [2], las Pymes deben dirigir sus operaciones hacia
actividades que les permita capitalizarse a travs del cambio
tecnolgico y la asociatividad , esto hace referencia a la
importancia de manejar sus operaciones va aplicaciones web e
ir innovando sus negocios acorde al avance tecnolgico que se
vaya presentando.
En el Censo Nacional Econmico Ecuatoriano [3], solo un
5% de las pequeas empresas registradas invierten en
investigacin y desarrollo incorporando nuevas tecnologas.
Generalmente las empresas adquieren su software dependiendo
de los procesos que requieran aplicar sobre l, de esta manera
la empresa puede construir su propio software (in-house),

contratar los servicios de terceros o usar aplicaciones web ya

desarrolladas (open source).
B. Seguridad de la informacin
SI frecuentemente es entendida por el usuario como
seguridad de las lneas de cdigo, sin embargo la SI abarca una
serie de temas que principalmente no son entendidos por todos
los miembros de una empresa, pero que son de vital
importancia para contar con la confidencialidad necesaria en la
misma. De igual manera Fernando Fuentes [4] se refiere a
seguridad de informacin como una serie de tcnicas o
procedimientos que pueden ser mal utilizados e interpretados,
perdiendo as su utilidad real.
Basados en los principios bsicos de SI (confidencialidad,
disponibilidad e integridad de los datos), las siguientes Normas
(ISACA, NS/04, ISO) dedicadas al estudio de la SI, definen a
la misma como algo que garantiza que dentro de la empresa la
informacin se encuentre protegida contra divulgacin de
usuarios no autorizados [5], aplicando para ello un conjunto de
medidas y procedimientos para el control y uso correcto de la
misma [6], conservando de esta manera los principios bsicos
de SI; as como las aplicaciones usadas dentro de una empresa
[7], mantenindola libre de peligro, dao o riesgo, evitando la
divulgacin, interrupcin o destruccin no autorizada.
Dentro de la implementacin de controles para la SI se debe
contar con medidas de gestin de seguridad, esto segn Jeffrey
Stanton [8] se debe realizar en dos niveles: nivel de gestin de
procesos de negocios y nivel tcnico. Luego de la
implementacin de estas medidas se debe concientizar sobre el
proceso de la SI. De la misma forma se debe mantener a los
usuarios y empleados actualizados, por lo cual los programas
de concientizacin deben ser permanentes y mantenerse al
corriente de los continuos cambios; esto como parte integral y
cultura de la empresa. Nos menciona Kruger H. [9] que la
clave del xito en cuanto a la conciencia de los usuarios y
empleados es mantener los procesos relevantes y concluyentes,
mientras se mantiene la variacin de los mecanismos de
ejecucin. Estas variaciones se pueden dar a medida que
cambia el riesgo de la informacin. Schlienger & Teufel [10]
debaten sobre los programas de sensibilizacin abordando
temas de cambio continuo y medicin de concienciacin sobre
SI, de manera que se pueda revisar o repetir las campaas de
concienciacin de seguridad con mayor efectividad.
C. Pequeas empresas y sus aplicaciones web
Segn el anlisis realizado por Chvez Mildred sobre una
PYME 1 Ecuatoriana [11], menciona que no existen criterios
universales para la definicin de la misma, ya que debido a las
realidades socio-econmicas y productivas, podra haber
diferencias dependiendo de pases o regiones. Sin embargo y
en contexto general se define a la pequea empresa como una
entidad independiente, la cual es creada para ser rentable y
predominar en la industria a la que se dedica, de manera que
logren satisfacer las diferentes necesidades de negocio [11].
1

PYME en Ecuador se conoce al conjunto de pequeas y

medianas empresas con ciertas caractersticas propias, que
orientan sus negocios a diferentes actividades econmicas.

Por estas razones en el Ecuador una pequea empresa se define

y categoriza de acuerdo al valor de los activos y a la actividad a
la que se dedican; de acuerdo a estos criterios la revista Ekos
[2] realiz una encuesta sobre la distribucin de pymes en el
Ecuador y obtuvieron los resultados mostrados en la figura 1.
100%
Pichincha
Guayas
Azuay
Manab
El Oro
Tungurahua
Resto

80%
60%
40%
20%
0%
Pequea

Mediana

Figure 1. Distribucin de PYMES por provincias(Octubre 2013)

La revista Ekos[2] menciona que Las pymes deben dirigir

sus operaciones hacia actividades que les permita capitalizarse
a travs del cambio tecnolgico y la asociatividad, esto hace
referencia a la importancia de manejar sus operaciones va
aplicaciones web e ir innovando sus negocios acorde al avance
tecnolgico que se vaya presentando. Segn el Censo Nacional
Econmico de 2010 [12], solo un 5% de las pequeas empresas
registradas invierten en investigacin y desarrollo incorporando
nuevas tecnologas.
III.

NORMAS Y METODOLOGAS PARA LA GESTIN DE LA

SEGURIDAD DE LA INFORMACIN.

En la actualidad existen normas y metodologas que se

encargan del estudio de la SI dentro de las empresas, tales
como NIST, ISO 27001, ISO 27002, ISF, ITIL, COBIT5; las
cuales dan una pauta sobre los procesos o actividades a seguir
para mantener segura la informacin relevante de cada
empresa. Se presenta una breve descripcin de las mismas.
A. NIST
El Instituto nacional de estndares y tecnologa (NIST) [13]
ofrece una gua de SI, la cual proporciona pautas o requisitos
que ayudan a los administradores de sistemas a establecer
normas o programas, orientados a mantener la SI dentro de una
PYME. NIST gestiona la SI tomando como referencia los
siguientes
componentes:
Gobernanza,
cumplimiento,
confianza, arquitectura, identificacin y control de acceso,
proteccin de datos, disponibilidad y respuesta de incidentes.
Estos componentes ayudan a llevar una planificacin adecuada
de SI y la aplicacin de la misma.
B. ISO 27001
ISO/IEC 27001 [14] proporciona marcos de trabajo para los
Sistemas de informacin enfocados a gestionar los requisitos
de implementacin para solucionar problemas de seguridad
actuales.
Safecoms [15] especfica que la norma ISO 27001 toma
como referencia los siguientes pasos para establecer,
supervisar, mantener y mejorar su Sistema de Gestin de
Seguridad de la Informacin (SGSI):
Identificar requisitos de seguridad.
Realizar una evaluacin sobre las amenazas de los activos
de informacin.

 Identificar factores de vulnerabilidad ante la probabilidad

de una amenaza a los activos.
Analizar el impacto potencial de incidentes de SI.
Evaluar los riesgos de SI
Seleccionar y aplicar controles de la SI.
Controlar, mantener y mejorar los controles de SI.
C. ISO 27002
ISO/IEC 27002 [16] proporciona informacin a las partes
responsables de la implementacin de SI dentro de una
empresa. Se puede ver como una buena prctica para el
desarrollo y mantenimiento de metodologas de seguridad y
prcticas de gestin dentro de una organizacin para mejorar la
confiabilidad en las relaciones inter-organizacionales.
Los componentes que usa esta norma para gestionar la SI
son los mismos que usa la norma ISO en general. Esto no
quiere decir que la norma ISO 27001 sea semejante a la norma
ISO 27002, por lo contrario; estas normas tienen aplicaciones y
usos diferentes, ya que la norma ISO 27001 se encarga de
especificar los requisitos de seguridad, en cambio ISO 27002
gestiona y controla los requisitos de seguridad enfocados
claramente a los activos o informacin de una empresa.
D. ISF
El Estndar de buenas prcticas para la SI (ISF), est
dirigido a empresas que reconocen a la SI como un tema clave
dentro del negocio, sin embargo, esta norma tambin ser de
utilidad a cualquier tipo de empresas, ya sean pequeas o
medianas.
ISF [17] integra a una serie de personas clave y terceros
dentro del sistema de SI en una empresa, en los cuales se
incluyen: gerentes de SI o equivalente, gerentes de empresas,
los administradores de TI responsables de la planificacin, los
gerentes de auditora de TI. Los componentes para asegurar la
informacin que se enfoca ISF son los siguientes: Gobernanza,
riesgo, conformidad, personas, procesos y tecnologa.
E. ITIL
ITIL (Biblioteca de Infraestructura de Tecnologas de la
Informacin) es una integracin de varias normas y
publicaciones, que describen de manera sistemtica un
conjunto de buenas prcticas para la gestin de los servicios
de TI (Tecnologas de informacin). ITIL [18] ofrece y trata de
crear un nexo de unin y acercamiento de la gestin de las TI
con el mundo de la gestin empresarial, basado en ISO, EFQM
y otros modelos similares.
Los componentes de seguridad que ofrece ITIL se
encaminan en el mismo sentido que la estrategia empresarial,
pero abordando a la informacin como objetivo principal. Entre
los componentes se menciona los siguientes: Alinea las nuevas
TI con la proteccin de los activos, gestin de cambios, gestin
de la capacidad, gestin de la demanda, gestin de la
disponibilidad, creacin y cumplimiento de un plan de SI, y
Gestin de la Continuidad y configuracin.
F. COBIT 5
Cobit5 para la seguridad de la informacin (COBIT5-SI)
[19] identifica los requerimientos de negocio en cuanto a la
efectividad, confidencialidad, integridad, disponibilidad,

eficiencia, cumplimiento y confiabilidad de la informacin que

deben satisfacerse.
COBIT5-SI ofrece un marco integral que ayuda a las
empresas a alcanzar sus objetivos para el gobierno y la gestin
de TI de la empresa [20]. Es decir, ayuda a la empresa a crear
un propio valor acerca de las TI, enfocado a los beneficios y
control de los niveles de riesgos. Adems este marco permite
ser gobernada y administrada de manera integral para toda la
empresa, tomando en cuenta el negocio completo y las reas
funcionales que manejan la SI, haciendo referencia a los
intereses de las partes interesadas, ya sean internas o externas.
COBIT5-SI para asegurar la informacin abarca los
siguientes componentes: organizacin, procesos, personas,
factores humanos, tecnologa y cultura.
IV.

SI EN APLICACIONES WEB DE PEQUEAS EMPRESAS.

A. COBIT5 - SI como norma principal de Gestin de SI

La Tabla I muestra de manera general los componentes de
cada una de las normas mencionadas que fueron la base para
seleccionar la norma de trabajo.
TABLE I.

ENFOQUE DE CADA NORMA

Normas enfocadas a SI

Componentes de SI
Cobit5-SI
Seguridad del personal
Tecnologa
Factores Humanos
Procesos
Conformidad
Gobernanza de seguridad
Riesgos de seguridad
Gestin de incidentes
Organizacin
Cultura
Cumplimiento
Confianza
Disponibilidad
Integridad
Confiabilidad
Arquitectura de sistemas
Plan de SI
Control de acceso
Continuidad del negocio,
respuesta incidentes
Proteccin de datos
Poltica de seguridad

NIST

IT
IL
X

X
X

ISO
27001
X
X

X
X

ISO
27002
X
X

ISF

X
X
X
X
X

X
X

X
X
X

X
X
X
X

X
X
X

X
X

X
X

X
X

X
X

X
X

X
X

Segn el informe presentado por Stroud & Crisc [21],

COBIT5-SI proporciona una gua especfica en relacin con
sus siete catalizadores, cuya descripcin genrica comn se
compone de cuatro partes: stakeholders, metas, ciclo de vida y
buenas prcticas, de estos catalizadores se analizarn 3, que
estn enfocados directamente a resguardar la informacin.
1) Catalizador de Procesos
El modelo de referencia de COBIT5-SI divide al
catalizador de procesos para manejar la seguridad en dos reas
principales de actividad: gobierno y gestin, cada una de ellas
divididas en dominios de procesos.

2) Catalizador de la informacin
Considera toda la informacin relevante para la empresa, y
no solamente como la informacin automatizada. La
informacin puede ser estructurada o no estructurada,
formalizada o informal.
El ciclo de la informacin ayuda a entender el proceso que
se lleva a cabo para obtener la informacin, generar datos
importantes y, transformarlos en conocimiento y crear valor
para la empresa.
SI es un catalizador de negocios que est estrictamente
ligado a la confianza de los interesados, como se menciona en
ISACA [5], ya sea por el tratamiento del riesgo de negocios o
por creacin para dar valor a la empresa, como una ventaja
competitiva.
3) Catalizador
de Servicios, infraestructura y
aplicaciones
Debido a que la SI ser asegurada dentro de entornos web,
este catalizador proporciona prcticas de definicin de
arquitectura, control de calidad y accesibilidad. En momentos
en que la importancia de las TI y afines es cada vez mayor en
todos los aspectos del negocios y la vida pblica, surge la
necesidad de mitigar el riesgo de la informacin, lo que incluye
la proteccin de la informacin y de los activos de TI
relacionados con las amenazas que se encuentra en constante
cambio e incremento
B. UWE
El enfoque de la Ingeniera Web basada en UML (UWE)
est en continua evolucin. Segn investigaciones realizadas
por Mnguez [22], esta evolucin se ha dado debido a la mejora
de las caractersticas existentes, tales como: personalizacin de
sistemas Web, adaptacin a las nuevas tecnologas, la
comunicacin cliente- servidor y la introduccin de nuevas
tcnicas de ingeniera de software como el aspecto de
orientacin y principios basados en modelos. El reto en todos
estos casos es proporcionar una herramienta ms intuitiva y til
para el desarrollo metodolgico de los sistemas Web, para
aumentar la calidad de los sistemas Web y para reducir el
tiempo de desarrollo, as como asegurar la SI proporcionada
para el desarrollo de cada uno de los modelos. Estos modelos
de la metodologa UWE [23] estn relacionados entre s, a
continuacin se detallan cada uno de ellos.
1) Anlisis de Requerimientos: Koch & Kozuruba [24]
hace referencia a la importancia de contar con una obtencin,
especificacin y validacin de requisitos como uno de los
primeros pasos para el desarrollo de un sistema WEB.
2) Modelo Contenido: Se utiliza para representar los
conceptos relevantes del dominio y sus relaciones. Cuando los
modeladores conocen el concepto principal de la aplicacin en
el futuro, por lo general comienzan con el modelo de
contenido para capturar las clases usando UML.
3) Modelo de estructura de navegacin: Este modelo
especfica la iteracin del usuario con la aplicacin; en este
modelo se realiza la navegacin de los nodos y enlaces,
modelando el anlisis de requerimientos y el modelo de
contenido ya antes especificado.

4) Modelo de presentacin: En este modelo UWE utiliza

un diagrama de clases para la representacin de modelos de
presentacin, en donde realiza una representacin esquemtica
de los objetos que son visibles al usuario.
5) Modelo de procesos: El modelo de flujo de procesos
UWE realiza una estructura de los procesos que se llevaran a
cabo dentro de la aplicacin web, este modelo permite
visualizar los flujos de trabajo que se encuentran dentro de los
nodos de navegacin.
Cada modelado que proporciona UWE est relacionado con
distintos diagramas tal como se observa en la TABLE II
TABLE II.
ACTIVIDAD
Anlisis de
Requerimientos
Modelo
Contenido

Modelo
Navegacin
Modelo de
Presentacin
Modelo de
procesos

DIAGRAMAS DE LOS MODELADOS DE UWE.

TCNICA

ENTREGABLE

Casos de Uso

Diagramas de casos de
uso
Diagramas de Clases
Diagramas de Secuencia

Diagrama de Clases
Diagrama de
Secuencia
Diagrama de Estado
Diagrama de
Despliegue
Diagrama de
Implementacin
Diagrama de
Navegacin
Diagrama de
Presentacin
Diagrama de
Actividad

Diagramas de Estados
Diagramas de
Despliegue
Diagramas de
Implementacin
Diagramas de
Navegacin
Diagramas de
Presentacin
Diagramas de
Actividades

C. Owasp-Proyecto abierto de seguridad en aplicaciones web

OWASP es un proyecto abierto que se encarga de
proporcionar pautas para aplicar seguridad en las aplicaciones
web, este proyecto est orientado a desarrolladores de software,
testers de software y especialistas de seguridad. OWASP
integra una serie de pruebas que estn enlazadas a un marco de
actividades, tal como se observa en la TABLE III.
TABLE III.
ACTIVIDAD
Antes de empezar el
desarrollo
Durante el diseo
Durante el desarrollo
Durante la
implementacin
Mantenimiento y
operaciones

V.

MARCO DE ACTIVIDADES DE OWASP.

PRUEBAS OWASP
- Recopilacin de Informacin
- Pruebas de la lgica de negocio
- Pruebas de gestin de la configuracin
- Pruebas de validacin de datos
- Pruebas de denegacin de Servicio
- Pruebas de Autenticacin
- Pruebas de Autorizacin
- Pruebas de gestin de sesiones
- Pruebas de Servicios Web
- Pruebas de Ajax

INTEGRACIN DE CONTROLES DE SEGURIDAD DE LA

INFORMACIN EN APLICACIONES WEB.

Las siguientes actividades que se muestran en la TABLE

IV, estn basadas en las normas y metodologas mencionadas
para la gestin de Seguridad de la informacin (NMGSI), y en
las metodologas orientadas a aplicaciones web, UWE y
OWASP. Estas actividades estn integradas en un ciclo de
fases de desarrollo web, estas fases son las siguientes:

1) Fase1- Planificar (F1P): Esta es la fase inicial que se

realiza antes de empezar el desarrollo, en esta fase se definen
actividades de buenas prcticas para definir los requerimientos
y objetivos en un plan de SI.
2) Fase 2- Construir (F2C): Se realiza durante el diseo y
definicin, se especifican actividades que describen la
estructura, funciones e interrelaciones de los componentes del
sitio web y sus sistemas de informacin.
3) Fase 3- Validar (F3V): Se realiza durante el desarrollo
en la que se describen los elementos del sitio, diseo y
arquitectura, y actividades que de SI desde estas fases.
4) Fase 4- Ejecutar (F4E): Se realiza durante la
implementacin, se describe las formas de verificar e instalar el
sitio web construido para hacer uso del mismo y se ponen en
marcha las mejoras detectadas a travs del plan de SI.
5) Fase 5 Supervisar (F5S): Se realiza durante el
mantenimiento y operaciones, en esta se ejecutan las pruebas
del comportamiento del sitio web verificando que se cumpla
los requisitos planteados y se da mantenimiento a los procesos
que aseguran la SI.

100%

RESULTADOS

80%
60%
40%
20%

X
X

0%
F1P
X

60%
40%
20%
0%

Actividades Fase 1
X
X

F1AC13

X
X

80%

F1AC12

X
X
X
X

Cumplimiento de actividades de la F1P

100%

F1AC11

X
X
X

X
X
X

F1AC9

X
X
X

F1AC10

X
X
X

F1AC8

F5S

Cada fase desarrollada est compuesta por una cantidad de

actividades (ver TABLE IV) que ayudan a llevar un mejor
control de la seguridad de la informacin dentro de sus
aplicaciones web, como se puede observar en la Figure 2 cada
porcentaje de cumplimiento de estas actividades. La fase 1 es
aquella que alcanza un mayor cumplimiento, esto se debe a que
la mayora de sus actividades propuestas son logradas, como se
encuentra detallada en la figure 3, el cumplimiento de las
actividades propuestas para esta fase cumplen en su mayora
un porcentaje superior al 70%.

F1AC7

F4E

Figure 2. Cumplimiento de actividades por cada fase.

F1AC6

F3V

F1AC5

X
X

F2C

F1AC4

Cumplimiento de SI en PYMES

F1AC3

F4E

X
X
X
X
X
X
X

X
X

De acuerdo a la informacin sesgada en el estudio

realizado, se ve reflejado que existe poca aplicacin de
controles o buenas prcticas en las fases de desarrollo
utilizadas por las empresas encuestadas. Esto hace que las fases
tengan un bajo cumplimiento de las actividades especificadas
tal como se refleja en la figure2.

F1AC2

F3V

F1AC1: Necesidad de los Stakeholders.

F1AC2: Identificar los activos.
F1AC3: Planificar la Seguridad de la informacin.
F1AC4: Definicin de requisitos.
F1AC5: Gestionar requerimientos
F1AC6: Documento de especificaciones finales.
F1AC7: Supervisar y evaluar los requerimientos.
F1AC8: Seguridad de los requerimientos.
F1AC9: Supervisar y evaluar el rendimiento y
conformidad de los requisitos.
F1AC10: Requerimientos de seguridad,
F1AC11: Implementacin de SDLC.
F1AC12: Polticas y estndares de seguridad
adecuados para el equipo de desarrollo.
F1AC13: Desarrollar las mtricas y criterios de
medicin. (OWASP)
F2AC1: Requerimientos de navegacin
F2AC2: Gestionar los programas
F2AC3: Gestionar la seguridad
F2AC4: Riesgos de prdida de informacin.
F2AC5: Continuidad del servicio
F2AC6: Gestin de cambio
F2AC7: Plan de continuidad.
F2AC8: Revisin de los requisitos de seguridad
F2AC9: Creacin-revisin de modelos UML.
F3AC1: Revisin de diseo y arquitectura
F3AC2: Creacin y revisin de modelos UML.
F3AC3: Creacin-revisin de modelos de amenaza
F3AC4: Inspeccin de cdigo por fases
F3AC5: Revisiones de cdigo
F4AC1: Implementar los requisitos de seguridad
F4AC2: Gestin de seguridad
F4AC3: Creacin de UML para representacin de
objetos visibles
F4AC4: Pruebas de intrusin en aplicaciones
F4AC5: Comprobacin de gestin de configuracin

N
U
M
W
G
E
S

O
W
A
S
P

X
X

A partir de la definicin de cada una de las fases integradas

con las actividades seleccionadas de las metodologas de
trabajo, se realiz una evaluacin a empresas de la localidad
que orientan sus negocios al sector bancario y que estn en
proceso de implementacin de aplicaciones web
transaccionales, esto con el propsito de evaluar y
retroalimentar el marco trabajado implementado.

F1AC1

F2C

VI.

REQUISITOS DE SI, INEGRADOS EN LAS NORMAS ANALIZADAS.

ACTIVIDADES

F1P

F5S

% de cumplimiento

TABLE IV.

F5AC1: Aplicar controles en los activos

F5AC2: Seguimiento de la gestin de seguridad
F5AC3: Revisin y creacin de modelos UML.
F5AC4: Ejecucin de revisiones de la
administracin operativa
F5AC5: Ejecucin de comprobaciones peridicas
de mantenimiento
F5AC6: Asegurar la verificacin de cambios

Figure 3. Cumplimiento de actividades de la Fase 1- Planificar

Por lo contrario a la fase 1, la F3V tiene el menor

cumplimiento de las actividades analizadas, tal como se
observa en la figure 4, las empresas encuestadas no han
considerado la creacin y revisin de un modelo de amenazas y
al momento de realizar la inspeccin de cdigo de la aplicacin
por fases no aplican los controles descritos por cada actividad,
es por esta razn que esta etapa tiene un porcentaje menor a las
dems fases analizadas.
% de cumplimiento

Cumplimiento de actividades de la F3V

De los resultados obtenidos mediante la aplicacin de

encuestas para el anlisis del cumplimiento de las actividades
descritas en la investigacin se pudo identificar que la mayora
de las empresas encuestadas no aplican todos los controles
necesarios para asegurar la informacin en sus entornos web,
dichos controles varian sin poder encontrar ninguna relacion
entre las mismas.
Al no contar con una media estndar de cumplimiento por
cada una de las fases, las aplicaciones web no cumplen con el
propsito general de proteger su informacin, para que esto
ocurra el cumplimiento de estas actividades debe estar en un
promedio de cumplimiento cercano entre cada una de ellas.

60%
40%
20%
0%
F3AC1 F3AC2 F3AC3 F3AC4 F3AC5
Actividades Fase 3
Figure 4. Analisis de cumplimiento de actividades la F3V

El cumplimiento de las Fases: F2C, F4E y F5S son

relativamente semejantes como se detall en la figure 2. Estas
fases llevan una aplicacin de los controles descritos por cada
actividad superiores al 50%, en la figure 5 se puede observar
como la F5S en efecto lleva la aplicacin de los controles por
cada actividad en su mayora en un 60%, esto deja claro que las
empresas encuestadas podran mejorar la seguridad de su
informacin, tomando en cuenta las actividades descritas por
cada fase de desarrollo web.
Cumplimiento de actividades de la F5S
% de cumplimiento

la aplicacin de buenas prcticas en cada una de las fases de

desarrollo de aplicaciones web.

80%
60%

El ciclo de vida del desarrollo de aplicaciones web requiere

contar con actividades que permitan asegurar la informacin
desde la primera fase de desarrollo, tanto COBIT5-SI, UWE y
OWASP proponen actividades para asegurar la informacin.
REFERENCIAS BIBLIOGRFICA
[1] R. Robles and . Rodriguez de Roa, "La gestin de la seguridad en la
empresa : ISO 27001," 2006.
[2] Ekos, "Ranking 2013 PYMES," Ekos, 2013.
[3] A. Zumo, "Censo Nacional Econmico por Cantones," 2010.
[4] F. Espinoza Fuentes, "Sistemas de informacin para la gestin de la
empresa," 2006.
[5] Isaca, "COBIT for Information Security," 2012.
[6] NS/04, "Autoridad Nacional Autoridad Nacional Nacional," 2012.
[7] ISO, "ISO/IEC 27001," 2005.
[8] J. Stanton, K. R. Stam, P. R. Mastrangelo and J. Jolton, "Behavioral
Information Security : Two End User Survey Studies of Motivation and
Security Practices," 2004.
[9] H. Kruger and W. Kearney, "A prototype for assessing information
security awareness," Computers & Security, pp. 289-296, 2006.

40%

[10] T. Schlienger and S. Teufel, "Information security culture from

analysis to change," 2003.

20%
0%

[11] C. Mildred, "Anlisis de la PYME Ecuatoriana," 2013.

F5AC1 F5AC2 F5AC3 F5AC4 F5AC5 F5AC6
Actividades Fase 5

VII. CONCLUSIONES
El Marco de trabajo COBIT5 para la seguridad de la
informacin, permite orientar el mayor nmero de controles
hacia la implementacin de polticas y normas de
aseguramiento de la informacin, desde la fase de desarrollo
hasta la implementacin y administracin de aplicaciones web
en pequeas empresas.
Para integrar las actividades descritas en cada fase de
desarrollo es necesario el estudio de varias normas que
enfoquen sus investigaciones al desarrollo de buenas prcticas
para la seguridad de la informacin, de las cuales se tomaron
las ms relevantes y se adapt al desarrollo de esta
investigacin.
Las actividades descritas, permiten compulsar las
actividades realizadas con el uso e integracin de normas
propuestas, adems de dar orientaciones necesarias referentes a

[12] INEC, Censo Nacional Econmico A Nivel Cantones, 17., 2010.

[13] ISF, "The Standard of Good Practice for Information Security," 2007.
[14] B. management, "ITIL V3," 2013.
[15] R. E. Stroud, "COBIT for Information Security," 2012.
[16] INEC, "Censo Nacional Econmico A Nivel Cantones, 17.," 2010.
[17] NIST, "Information Security Handbook: A Guide for Managers," 2006.
[18] ISO, "El Portal de ISO 27001 en espaol," [Online]. Available:
http://www.iso27000.es/sgsi.html.
[19] Safecoms, "SERVICE BRIEFING: ISO 27001 & ISO 17799
COMPLIANCE," 2006.
[20] ISO, "Controles ISO 27002:2005," 2005.
[21] C. 5, "Cobit 5 para la Seguridad de la Informacin," 2012.
[22] Isaca, "Cobit 5 para TI de la Empresa," 2011.
[23] S. D. Mnguez, "Metodologias para el desarrollo de aplicaciones web:
UWE," 2012.
[24] UWE, "UWE UML-based Web Engineering," 27 08 2014. [Online].
Available: http://uwe.pst.ifi.lmu.de/.
[25] N. Koch and S. Kozuruba, "Requirements Models as First Class Entities
in Model-Driven Web Engineering," 2012.